《操作系统安全审计.docx》由会员分享,可在线阅读,更多相关《操作系统安全审计.docx(31页珍藏版)》请在三一办公上搜索。
1、操作系统安全审计A.1.1 RedHat Linux操作系统 RedHat Linux操作系统安全审计 测试类别: 风险评估 测试对象: RedHat 测试类: 安全审计 测试项: 测试内容: 确信对系统的主要行为都有审计日志,对于重要服务及重要操作由日志记录。并且所有的日志文件都有适当的访问权限,除root之外,其它用户没有修改权限。 测试方法: l 查看/etc/syslog.conf的配置文件,确定是否对系统日志和网络服务配置了适当的日志记录策略; l 查看syslog.conf中制定的,存放在/var/log下日志文件的更新日期,确定是否对相应的动作有实时日志功能; l 确保这些文件的
2、应该属于root用户所有,文件的权限应该是644; l 查看hosts.allow和hosts.deny文件内容。 测试记录: 1 已配置的日志: 2 日志功能是否有效实施,日志记录的日期和内容是否与配置相符合: 3 日志文件的访问权限: 4 查看hosts.allow和hosts.deny文件内容: 备注: 签名 日期 RedHat Linux操作系统系统安全 测试类别:风险评估 测试对象:RedHat 测试类:系统安全 测试项: 测试内容: 被测操作系统应安装最新的系统补丁程序,只开启必要的服务;系统应保证和常用命令相关配置文件的安全性。设置安全的访问旗标;并对系统资源作适当的使用限制。
3、测试方法: l 查看或询问是否安装最新补丁程序; l Telnet/ftp登录系统,确定系统旗标信息的是否安全; l 是否为用户不成功的鉴别尝试次数定义阀值。 测试记录: 补丁安装情况: 是否有安全的系统访问旗标? 显示操作系统类型 显示操作系统内核版本 ftp登录察看显示信息: 是否使用了用户磁盘限额? 用户磁盘限额策略: 用户连续登录失败的次数: 默认umask值: 重要文件和目录的读写权和属主: /etc/security 属主 访问许可: /usr/etc 属主 访问许可: /bin 属主 访问许可: /usr/bin 属主 访问许可: /sbin 属主 访问许可: /var/log
4、属主 访问许可: /etc/*.conf 属主 访问许可: /etc/login.defs 属主 访问许可: 备注: 签名 日期 RedHat Linux操作系统用户属性 测试类别:风险评估 测试对象:RedHat 测试类:用户属性 测试项: 测试内容: 操作系统应设置安全有效的口令策略。应限制能够su成root的用户,限制root的远程登录,根据需要设置可以进入单用户模式的用户,应启用用户超时自动注销的功能。 测试方法: l 查看/etc/passwd中是否有空口令账户; l 查看/etc/login.defs是否设置了适当的口令策略; l 查看wheel用户组成员。 测试记录: login
5、.defs口令策略: PASS_MAX_DAYS PASS_MIN_DAYS PASS_MIN_LEN PASS_WARN_AGE 能够su为root的用户: 察看/etc/pam.d/su文件是否存在以下项: auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel 是否允许root远程登录? 是否启用了用户超时自动注销功能? HISTFILESIZE= TMOUT= /etc/security/access.conf内容: 系统引导程序的访问许
6、可位: 文件中是否有口令保护? 备注: 签名 日期 RedHat Linux操作系统网络及服务安全 测试类别: 风险评估 测试对象: RedHat 测试类: 网络及服务安全 测试项: 测试内容: l 操作系统应只开放必要的网络服务。无多余的网络端口开放; l 操作系统应使用高强度加密机制替代明文传输数据的协议或服务; l 应开启Iptables防火墙,并且规则得到有效实施;应该有防病毒软件安装并且有效运行。 l 限制能够访问本机的IP地址。 测试方法: l 使用netstat命令来获得系统的端口列表,并记录关键的端口列表; l 察看telnet,ftp等明文传输协议是否运行,察看telnet
7、和ftp的用户属性; l 察看iptables是否已开启,iptables日志是否有效记录了现有规则的实施结果。 测试记录: 开放网络端口有: TCP端口: UDP端口: 启用的服务有或查看/etc/xinetd.d目录下的各个文件中disable项的赋值: FTP和Telnet等网络服务的访问限制: FTP Telnet: 是否启用了SSH等安全远程登录工具? 取代方法: 对连接到本机的访问限制: Iptables是否已开启? 主要规则有: 日志内容是否有效?: 查看防火墙设置的安全级别: 是否安装了防病毒软件? 是否有效运行: 备注: 签名 日期 RedHat Linux操作系统备份/恢复
8、容错机制 测试类别: 风险评估 测试对象: RedHat 测试类: 备份/恢复容错机制 测试项: 测试内容: l 操作系统要求在故障事件发生时能够保证业务的连续性; l 操作系统应根据自身情况,对系统数据、用户数据、审计日志、策略文档及注册表数据制定合理的备份/恢复策略,以满足系统在遇到意外事故数据遭受破坏时,系统恢复操作的需要。 测试方法: l 查看服务器是否有UPS电源支持,是否有RAID保护; l 查看系统备份/恢复机制是否满足系统安全要求。 测试记录: 操作系统是否有磁盘冗余阵列?_ 服务器是否有UPS支持? 系统是否有双机热备? 操作系统备份/恢复机制? 用户数据备份/恢复机制? 日
9、志数据备份/恢复机制? 业务应用程序备份/恢复机制? 是否使用cron和at定期执行系统管理任务和备份/恢复任务. 记录当前的cron任务 记录当前的at任务 备注: 签名 日期 A.1.2 Solaris操作系统 Solaris操作系统安全审计 测试类别: 风险评估 测试对象: Solaris8 测试类: 安全审计 测试项: 测试内容: l 操作系统的syslogd应当开启。系统应该确保错误信息和失败登录信息等的日志记录,并且对日志数据有适当的的访问控制; l 应定期浏览日志数据; l 并对日志结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。 测试方法: l 查看syslogd是否启
10、动; l 查看sydeslog的配置; l 查看日志相关文件的内容和最后修改日期; l 查看日志相关文件的访问许可; l 询问或查看日志相关文件的存放位置,溢满处理和备份清理策略。 测试记录: 是否开启syslogd: 察看syslog.conf系统审计配置: Falacility.level action 查看inetd的服务是否启动日志功能: ftp的日志功能: 查看审计功能是否有效实施,访问许可位和属主: /dev/sysmsg: /var/adm/cron/log: /var/adm/wtmp: /var/log/syslog: /var/adm/sulog: /var/log/aut
11、hlog: /var/adm/messages: /etc/security/lastlog: 是否有单独的日志分区: 如果有,察看分区大小 是否有定期的日志备份和清理策略: 备份策略 备注: 签名 日期 Solaris操作系统安全审计 测试类别: 风险评估 测试对象: Solaris 测试类: 安全审计 测试项: 测试内容: l 操作系统的审计子系统SecU Solaris p2.3 BSM应处于开启状态,并且根据需要定制必要的审计内容; l 应能对被定制的操作事件自动生成审计纪录; l 系统应针对审计结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。 测试方法: l 检查系统的安全审
12、计功能是否已经开; l 检查系统设置的审计事件和审计对象; l 查看审计功能的运行是否实时有效; l 检查审计日志是否存储在单独的磁盘分区上,存储审计日志的磁盘分区是否足够大; l 是否有定期的日志备份和清理策略。 测试记录: 是否开启系统审计功能: audit_control的配置: 审计文件存放位置: 审计文件所需剩余空间: 指定的系统用户审计事件类: 指定的普通审计事件类: 查看审计功能是否有效实施,审计记录是否包含事件的日期和时间,事件类型,主体身份,事件的结果: 是否有单独的日志分区: 如果有,察看分区大小 审计文件的访问许可: 是否有定期的日志备份和清理策略: 备份策略 查看用户审
13、计事件: 备注: 签名 日期 Solaris操作系统系统安全 测试类别: 风险评估 测试对象: Solaris 测试类: 系统安全 测试项: 测试内容: 被测操作系统应安装最新的系统补丁程序,只开启必要的服务,限制服务配置文件的访问权限;系统应保证r族命令和常用命令相关配置文件的安全性;设置安全的访问旗标。 测试方法: l 查看操作系统版本和补丁安装情况; l 查看超级守护进程配置文件属性及内容,Service配置文件属性; l 检查是否存在r族配置文件,确定系统是否运行r族命令; l Telnet/ftp登录系统,确定系统旗标信息的是否安全。 测试记录: 1 版本和补丁信息: 操作系统版本:
14、 补丁集: 来查看安全补丁安装情况 2超级守护进程配置文件 /etc/inetd.conf:属主: 访问许可权: 开启服务: 3查看是否使用了r族配置文件,并且查看其配置情况 $HOME/.rhosts .netrc hosts.equiv 4是否有安全的系统访问旗标? telnet的旗标: 显示操作系统类型 显示操作系统版本 显示ftp软件版本 ftp的旗标: 显示操作系统类型 显示操作系统版本 显示ftp软件版本 备注: 签名 日期 Solaris操作系统系统安全 测试类别: 风险评估 测试对象: Solaris 测试类: 系统安全 测试项: 测试内容: 被测操作系统应保证相关命令文件和配
15、置文件的访问许可合理;对用户、登录设备、失败登录阀值、无操作自动锁定等加以限制;并对系统资源的使用作适当的限制。 测试方法: l 查看是否针对用户使用了用户磁盘限额; l 是否定义了登录相关参数; l 是否对重要的命令文件和配置文件设置安全的访问许可权; l 是否安装了防病毒软件,邮件过滤软件。 测试记录: 是否使用了用户磁盘限额? 用户磁盘限额策略: 察看login登录相关参数 CONSOLE=/dev/console注销: PASSREQ=YES:YES TIMEOUT注销: UMASK: SYSLOG=: YES RETRIES: 注销: SYSLOG_FAILED_LOGINS:注销:
16、 重要文件和目录的读写权和属主: /usr/etc 属主 访问许可: /usr/bin 属主 访问许可: /bin 属主 访问许可: /sbin 属主 访问许可: /etc 属主 访问许可: /etc/security/* 属主 访问许可: 是否安装了防病毒软件: 类型及版本: 备注: 签名 日期 Solaris操作系统用户属性 测试类别: 风险评估 测试对象: Solaris 测试类:用户属性 测试项: 测试内容: l 操作系统应设置了有效的口令策略; l 确保系统伪账号没有登录shell,口令域设为NP; l 用户口令有效性设置合理。 测试方法: l 察看系统中是否存在与所提供服务无关的无
17、用账号; l 查看passwd中的口令相关设置; l 查看shadow文件,确定是否为每一用户设置了口令更改最短天数,口令更改最长天数,口令过期前的警告天数、休眠天数和失效期限。 测试记录: 1 无用账号: 2. passwd口令策略: MAXWEEKS: MINWEEKS: PASSLENGTH: 3. Shadow文件中用户口令有效性设置: 4.是否限制使用su的组 5. 应用服务器是否有密钥和证书 备注: 签名 日期 Solaris操作系统网络及服务安全 测试类别: 风险评估 测试对象: Solaris8 测试类: 网络及服务安全 测试项: 测试内容: l 操作系统应只开放必要的网络服务
18、。无多余的网络端口开放; l 操作系统应使用高强度加密机制替代明文传输数据的协议或服务; l 远程控制的终端访问应采用高强度的认证和加密机制,保证数据的完整性和机密性; l 限制能够访问本机的IP地址。 测试方法: l 使用netstat命令来获得系统的端口列表,并记录关键的端口列表; l 察看telnet,ftp等明文传输协议是否运行,察看telnet 和ftp的用户属性; l 查看对访问本机的IP限制。 测试记录: 察看netstat开放网络端口 1、 20,21/tcp:FTP-data ,FTP 2、22/tcp:SSH 3、 23/tcp:telnet 4、25/tcp:SMTP 5
19、、 43/tcp:Whois 6、53/tcp:Domain 7、 69/udp:tftp 8、 80/tcp:http 9、 80/udp:http 10、109,110/tcp:pop2,pop3 察看inetd.conf启用的网络服务有 FTP的拒绝访问用户列表: 是否限制root的远程登录: 查看/ETC/DEFAULT/LOGIN是否设置CONSOLE为CONSOLE或NULL, 查看/ETC/FTPUSERS是否加入ROOT及其他ROOT组成员, 查看SSH 配置文件中是否加入如:PERMITROOTLOGIN = NO 是否启用加密协议/服务来取代明文传输的telnet和ftp等
20、: 是否限制能够访问本机的IP地址: 本机IP地址为: 是否限制IP转发: 备注: 签名 日期 Solaris操作系统备份/恢复容错机制 测试类别: 风险评估 测试对象: Solaris8 测试类:备份/恢复容错机制 测试项: 测试内容: l 操作系统要求在故障事件发生时能够保证业务的连续性; l 操作系统应根据自身情况,对系统数据、用户数据、审计日志、策略文档及注册表数据制定合理的备份/恢复策略,以满足系统在遇到意外事故数据遭受破坏时,系统恢复操作的需要。 测试方法: l 查看服务器是否有UPS电源支持,是否有RAID保护; l 查看系统备份/恢复机制是否满足系统安全要求。 测试记录: 统是
21、否有定期任务用来备份 记录当前的cron任务 记录当前的at任务 cron.allow cron.deny 操作系统是否有磁盘冗余阵列?_ 是否有物理备份?冷备份? 服务器是否有UPS支持? 系统是否有双机热备? 操作系统备份/恢复机制? 核心的系统文件:如系统配置,核心映像的备份/恢复机制? 日志、审计数据的备份/恢复机制? 系统是否有定期任务用来备份: 针对集群、NetBackup软件、SunCluster软件设置一些特别的测试项; 备注: 签名 日期 A.1.3 AIX操作系统 AIX操作系统安全审计 测试类别: 风险评估 测试对象: AIX操作系统 测试类: 安全审计 测试项: 测试内
22、容: l 操作系统应运行在标准模式下; l 系统应该确保错误信息和失败登录信息等的日志记录,并且对日志数据的读写权限加以限制,应定期浏览日志数据; l 对日志结果文件的大小、覆盖策略、存放位置和备份清理作必要配置。 测试方法: l 查看syslogd是否启动; l 查看sydeslog的配置; l 查看日志相关文件的内容和最后修改日期; l 查看日志相关文件的访问许可; l 询问或查看日志相关文件的存放位置,溢满处理和备份清理策略。 测试记录: 是否开启syslogd: 系统审计配置: Falacility.level action 查看审计功能是否有效实施: /var/adm/wtmp: /
23、var/adm/sulog: /var/adm/cron/log: /etc/security/lastlog: /etc/security/failedlogin: 是否有单独的日志分区: 如果有,察看分区大小 审计文件的访问许可: 是否有定期的日志备份和清理策略: 备份策略 备注: 签名 日期 AIX操作系统安全审计 测试类别: 风险评估 测试对象: AIX操作系统 测试类: 安全审计 测试项: 测试内容: l 操作系统应运行在可信模式下,开启安全审计功能,并且根据需要定制必要的审计内容; l 开启了审计功能的操作系统应能对被定制的操作事件自动生成审计纪录; l 系统应针对审计结果文件的大
24、小、覆盖策略、存放位置和备份清理作必要配置。 测试方法: l 检查系统的安全审计功能是否已经开; l 检查系统设置的审计事件和审计对象; l 查看审计功能的运行是否实时有效; l 检查审计日志是否存储在单独的磁盘分区上,存储审计日志的磁盘分区是否足够大,是否有定期的日志备份和清理策略。 测试记录: 是否开启系统审计功能: 系统审计配置: 开启模式: bin stream Bin模式的trail文件: Bin文件路径及大小: 预定义的审计类: general objects SRC kenel files svipc mail cron tcpip lvm 其它自定义审计类: 配置的用户审计:
25、查看审计功能是否有效实施: 是否有单独的日志分区: 如果有,察看分区大小 审计文件的访问许可: 是否有定期的日志备份和清理策略: 备份策略 备注: 签名 日期 AIX操作系统系统安全 测试类别:风险评估 测试对象:AIX操作系统 测试类:系统安全 测试项: 测试内容: l 被测操作系统应安装最新的系统补丁程序,只开启必要的服务,限制服务配置文件的访问权限; l 系统应保证r族命令和常用命令相关配置文件的安全性。设置安全的访问旗标。 测试方法: l 查看操作系统版本和补丁安装情况; l 查看系统的安装模式是否为可信计算基库; l 查看超级守护进程配置文件属性及内容,Service配置文件属性;
26、l 检查是否存在r族配置文件,确定系统是否运行r族命令; l Telnet/ftp登录系统,确定系统旗标信息否安全。 测试记录: 版本信息: 补丁安装情况: 操作系统的TCB运行模式 1. tcbck 命令是否可用 2. 检查可信文件: 3. 检查文件系统树: ACL是否启用: 超级守护进程配置文件/etc/inetd.conf:属主: 访问许可权: 是否存在R族配置文件? hosts.equiv 设置条目: .rhosts 设置条目: 是否有安全的系统访问旗标? telnet 显示操作系统类型 显示操作系统版本 ftp 显示ftp软件版本 察看允许su的用户 记录su=true的用户: 记录
27、rlogin=true的用户: 备注: 签名 日期 AIX操作系统系统安全 测试类别: 风险评估 测试对象: AIX操作系统 测试类:系统安全 测试项: 测试内容: l 被测操作系统应保证相关命令文件和配置文件的访问许可合理; l 对用户登录的旗标、允许登录时间、登录设备、失败登录阀值、无操作自动锁定等加以限制; l 并对系统资源的使用作适当的限制。 测试方法: l 查看是否针对用户使用了用户磁盘限额; l 是否定义了登录相关参数。 测试记录: 是否使用了用户磁盘限额? 用户磁盘限额策略: 察看login.cfg登录相关参数 Herald: logindelay: logindisable:
28、Logininterval: Loginreenable: Logintimes: sak_enabled: Synonym: Maxlogins: Logintimeout: 是否启用超时自动注销功能:参数TMOUT= 安全配置文件的读写权和属主: /etc/security/* 属主 访问许可: 查看某个进程相关的启动程序:#ps elaf 查看sendmail的版本: 备注: 签名 日期 AIX操作系统用户属性 测试类别: 风险评估 测试对象: AIX操作系统 测试类:用户属性 测试项: 测试内容: l 操作系统应确保所有用户设置口令; l 设置了有效的口令策略; l 确保系统伪账号没有
29、登录shell,口令域设为NP; l 用户角色和权限的分配应该遵循最小权限原则。 测试方法: l 查看系统支持的认证方式; l 是否有空口令用户,并且采用可信模式; l 察看系统中是否存在与所提供服务无关的无用账号; l 查看用户安全属性的默认设置和root用户的设置; l 查看用户角色和权限的分配是否合理。 测试记录: 1 认证方式 2 空口令用户 3 残余账号 4 默认的用户安全属性 Default: admin = false login = true su = true daemon = true rlogin = true sugroups = ALL admgroups = tty
30、s = ALL auth1 = SYSTEM auth2 = NONE Root: admin = SYSTEM = loginretries = account_locked = login= 5 角色分配: 备注: 签名 日期 tpath = nosak umask = 022 expires = 0 SYSTEM = compat logintimes = pwdwarntime = 0 account_locked = false loginretries = 0 histexpire = 0 histsize = 0 minage = 0 maxage = 0 maxexpired
31、= -1 minalpha = 0 minother = 0 minlen = 0 mindiff = 0 maxrepeats = 8 dictionlist = pwdchecks = AIX操作系统网络及服务安全 测试类别: 风险评估 测试对象: AIX操作系统 测试类: 网络及服务安全 测试项: 测试内容: l 操作系统应只开放必要的网络服务。无多余的网络端口开放; l 操作系统应使用高强度加密机制替代明文传输数据的协议或服务; l 远程控制的终端访问应采用高强度的认证和加密机制,保证数据的完整性和机密性; l 限制能够访问本机的IP地址。 测试方法: l 使用netstat命令来获得
32、系统的端口列表,并记录关键的端口列表; l 察看telnet,ftp等明文传输协议是否运行,察看telnet 和ftp的用户属性。 测试记录: 开放网络端口有: 1、 20,21/tcp:FTP-data ,FTP 2、22/tcp:SSH 3、 23/tcp:telnet 4、25/tcp:SMTP 5、 43/tcp:Whois 6、53/tcp:Domain 7、 69/udp:tftp 8、79/tcp:finger 9、 80/tcp:http 10、80/udp:http 11、109,110/tcp:pop2,pop3 12、111,135/tcp:portmap,loc-serv 13、111,135/udp:portmap, loc-serv 14、143/tcp:imap 15、161,162/tcp:snmp, snmp-trap 16、161,162/udp:snmp,snmp-trap 其他端口: TCP端口: UDP端口: 启用的网络服务有: F
